网络安全流程规范.docx
《网络安全流程规范.docx》由会员分享,可在线阅读,更多相关《网络安全流程规范.docx(25页珍藏版)》请在冰豆网上搜索。
网络安全流程规范
流程规范
第一节关于加强网络信息保护的决定
全国人民代表大会常务委员会为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,作出了相关决定。
一、网络服务提供者和其他企业事业单位在业务活动中如何保障个人隐私?
1.任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2.在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
3.应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。
二、如何处理个人信息泄露问题?
1.任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。
被侵权人可以依法提起诉讼。
2.有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。
有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
三、如何处理对于违反本决定的行为?
对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。
构成犯罪的,依法追究刑事责任。
侵害他人民事权益的,依法承担民事责任。
第二节公共及商用服务信息系统个人信息保护指南
一、相关术语和定义
1.信息系统informationsystem
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
2.个人信息personalinformation
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。
个人信息可以分为个人敏感信息和个人一般信息。
3.个人信息主体subjectofpersonalinformation
个人信息指向的自然人。
4.个人信息管理者administratorofpersonalinformation
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
5.个人信息获得者receiverofpersonalinformation
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
6.第三方测评机构thirdpartytestingandevaluationagency
独立于个人信息管理者的专业测评机构。
7.个人敏感信息personalsensitiveinformation
个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
8.个人一般信息personalgeneralinformation
除个人敏感信息以外的个人信息。
9.个人信息处理personalinformationhandling
处置个人信息的行为,包括收集、加工、转移、删除。
10.默许同意tacitconsent
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
11.明示同意expressedconsent
个人信息主体明确授权同意,并保留证据。
二、个人信息保护角色和职责
1.个人信息主体
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
2.个人信息管理者
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
3.个人信息获得者
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.第三方测评机构
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
三、个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则有:
1.目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
2.最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
3.公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。
以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
4.个人同意原则——处理个人信息前要征得个人信息主体的同意。
5.质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
6.安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
7.诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
8.责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
第三节中国移动网络与信息安全总纲
一、总体要求
1.网络与信息安全的基本概念
网络与信息安全包括下列三个基本属性:
机密性(Confidentiality):
确保网络设施和信息资源只允许被授权人员访问。
根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。
完整性(Integrity):
确保网络设施和信息及其处理的准确性和完整性。
可用性(Availability):
确保被授权用户能够在需要时获取网络与信息资产。
需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。
2.安全标准综述
本标准依据国际规范,参考业界的成熟经验,结合中国移动的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下八个方面:
(1)组织与人员
集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。
安全领导机构必须明确划分安全职责并建立内部协调机制。
公司必须设立专职安全队伍,建立安全事件响应流程和联络人制度。
公司应与外部安全专家和其他相关组织加强沟通与协作。
中国移动的所有岗位职责中必须包含安全内容,并尽量实现职责分隔。
公司应实施人员考察制度。
公司的所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。
中国移动的所有员工都应当接受网络与信息安全培训。
第三方访问和外包服务必须受到控制,应事先进行风险评估,分析安全影响并制订相应措施。
同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。
公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利与义务及违约责任,保障客户与公司双方的利益。
(2)网络与信息资产管理
公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。
每一项资产都应当指定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全责任。
“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。
根据网络与信息资产的敏感度和重要性,必须对其进行分类和标注,并采取相应的管理措施。
(3)物理与环境安全
公司的关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的安全边界予以保护。
根据不同的安全需求等级,公司应划分不同的安全区域,例如:
机房、办公区和第三方接入区。
针对不同的安全区域,公司应采取不同等级的安全防护和访问控制措施,阻止非法访问、破坏和干扰。
工程施工期间也应遵守相关规定,加强安全区域的保护。
公司必须制定清理办公环境及合理使用计算机设备的规定。
网络与信息处理设施的处置与转移应遵守相应的安全要求。
(4)通信与运营管理安全
公司应建立网络与信息处理设施的管理和操作的职责及流程,并尽可能地实现职责分离。
开发、调测和运营环境应保持相对隔离。
公司应做好系统容量的监视和规划。
配套安全系统应与业务系统“同步规划、同步建设、同步运行”。
新建或扩容系统的审批应包含安全内容,并在交付使用前做好测试和验收工作。
涉及安全方面的审批工作应由安全机构人员负责。
公司应加强防范意识,采取有效措施,预防和控制恶意软件。
公司应采取相应技术手段,确保时钟和时间同步。
公司应建立严格的软件管理制度,及时加载安全补丁,定期进行系统安全漏洞评估,并执行系统加固解决方案。
公司应当制定备份制度,执行备份策略,并定期演练数据恢复过程。
记录操作和故障日志。
公司必须采取多种控制措施,保护网络设备及其上信息的安全,尤其是网络边界和与公共网络交换的信息。
可采取的控制措施如:
访问控制技术、加密技术、网管技术、安全设备、安全协议等。
公司应制定信息存储介质的管理制度和处置流程。
应特别加强对可移动存储介质和系统文档的管理。
公司在与其他组织交换信息和软件时,应遵从相应的法律或合同规定,采取必要的控制措施。
公司应制定相应的程序和标准,以保护传送过程中的信息和媒介安全,尤其要考虑电子商务、电子邮件等应用的安全控制需求。
公司还应制定信息发布管理规定。
(5)访问控制
公司应基于业务和安全需求,制定访问控制策略,并明确用户职责,加强用户访问控制管理。
公司应加强对移动办公和远程办公的管理。
公司应加强对网络系统、操作系统、应用系统的访问控制,如在公司网络边界设置合适的接口,采取有效的用户和设备验证机制,控制用户访问,隔离敏感信息。
同时应监控对系统的访问和使用,记录并审查事件日志。
公司应针对多用户网络与信息系统制定正式的注册和注销程序,必须通过正式的授权程序控制超级权限的分配。
口令是鉴别用户身份的通用方法,公司应建立正式的口令管理规定,口令的信息级别至少为机密,若口令被用来保护公司的绝密信息,则该口令的信息级别也为绝密;要求用户签署声明,保证自己能够妥善保管口令,并承担相应责任。
(6)开发与维护
新系统的开发,包括网络基础设施、支撑系统,必须遵循系统安全生命周期管理流程。
在开发新系统之前,应确认安全需求。
在设计中应采用合适的控制措施、审计跟踪记录和活动日志,包括输入数据、内部处理和输出数据的验证。
应用系统不应在程序或进程中固化账户和口令,系统应具备对口令猜测的防范机制和监控手段。
公司应通过风险评估来确定加密策略,基于统一的标准和程序建立加密管理规范。
在系统开发及维护过程中,应严格执行系统开发流程管理,包括对开发、测试和生产环境的变更控制,以保证系统软硬件和数据的安全。
公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针,建立安全事件响应流程和奖惩机制。
如有必要,应尽快收集相关证据。
公司应实施业务连续性管理,通过分析安全事件对业务系统的影响,制定并实施应急方案,并定期更新、维护和测试。
(7)安全审计
网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。
安全审计应遵循独立原则,定期检查网络与信息系统安全,检验安全政策和技术规范的执行情况。
应采取有效的控制措施保护网络与信息系统及审计工具,使安全审计的效果最大化,影响最小化。
第四节中国移动客户信息保密管理规定
一、总体要求
本规定所指客户信息,是指客户位置信息、客户通话记录、话单信息、短信/(彩信)内容、客户身份信息、客户订购关系等所有涉及客户隐私的客户信息资料。
客户信息保密管理涵盖客户信息产生、传输、存储、处理、消除等各个环节。
客户信息载体包括电子和纸质两种形式。
以电子方式承载客户信息的系统范围包括但不限于:
传输以及利用中国移动客户信息提供业务或者进行业务运营管理的所有业务系统、支撑系统。
纸质方式承载的客户信息保密要求参照第三、六、七章的相关规定执行。
二、客户信息管理
相关系统管理员应明确识别各系统中存储、传输的客户有关信息,并具体标注需要保护的客户信息。
各公司应按照本管理规定要求结合本公司的具体情况,制定本规定的实施细则及工作流程。
对于各相关系统中的客户信息,除因工作需要外,未经管理方的授权或许可,任何个人不得通过任何手段进行查询,更不能用于中国移动合法运营之外的其它商业用途。
对相关系统中的每一类客户信息,应有完整列表,列表应包括但不限于该类客户信息产生、存储、传输、使用等各个环节的情况,并定期更新。
确保所采取的管理和技术措施以及覆盖范围的完整性。
三、系统安全功能
各相关系统应在信息获取、处理、存储、消除各环节保护客户信息的完整性、保密性、可用性,具备但不限于如下功能:
1.客户信息存储时应具备相应的安全要求,包括存储位置、存储方式等,对于重要的客户信息,应根据系统实际情况提供必要的加密手段。
2.应具备完善的权限管理策略,支持权限最小化原则、合理授权,对不能支持此原则的系统,应减少掌握该权限的人员数量,并加强人员管理。
3.具备完整的用户访问、处理、删除客户信息的操作记录能力,以备审计。
4.在传输客户信息时,经过不安全网络的(例如INTERNET网),需要对传输的客户信息提供加密和完整性校验。
5.新建系统必须满足本要求,对于不支持本要求的已建系统,应根据实际情况尽快落实,如系统升级改造。
四、系统管理
禁止在相关系统中安装、运行与生产无关的程序。
按照最小化原则配置账户权限,保证对客户信息的访问不得超过本身工作范围。
应对相关系统的对外接口(互联网、系统间、第三方系统、合营系统等)定期检查,避免出现不可控访问路径。
五、授权
各公司应建立客户信息授权查询制度和流程。
具体授权审批流程,可由各公司根据实际情况自行制定。
六、用户管理
维护或使用各相关系统的人员因工作需要而获得的客户信息,未经许可不得告知他人,更不能作为商业用途使用。
用户有严格保守客户信息秘密的义务和责任。
各公司应组织维护或使用各相关系统的人员签订保密协议,明确保密责任。
各公司应与第三方公司签订保密协议,在协议中明确第三方公司及其参与项目的员工的保密责任以及违约罚则。
第三方公司及其员工有泄密行为者,依约追究其违约责任;泄密行为构成犯罪者,公司将依法移送司法机关处理。
第五节中国移动远程接入安全管理办法
一、组织及职责
1.总体原则
“谁主管、谁负责,谁接入、谁负责”原则。
中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人,分别直接负责所辖网络的远程接入管理工作;
2.“基于需求”原则
所有远程接入需求应符合中国移动业务发展、运维管理的实际需要,必须有明确的接入目的,接入所开放的访问权限(如访问时限、可访问时间段、可发起访问的地址段、需要访问的系统、操作权限等等)应以满足而且不超出实际需求为标准;
3.“集中化”原则
远程接入应尽量减少接入点,通过逐步设置集中的接入点,为实现对远程访问的集中控管奠定基础;
4.“可控”原则
所有远程接入必须通过申请、审批、备案及审计,确保在安全可控的前提下实现远程接入;
5.与维保方式改革思路相一致。
非代维方式的厂家支持人员,原则上应在每次接入前进行审批,并在接入完成后收回分配的帐号权限。
6.网络安全职能管理部门
如有限公司和各省公司网络与信息安全工作办公室、网络安全处或者负责本公司安全工作的具体职能部门等。
主要负责:
落实上级主管部门宏观要求,配合上级部门完成必要的远程接入实施工作;
制定远程接入实施细则;
对远程接入情况,如所辖范围内设置的接入点数量、部署位置、用途、责任人等,进行备案;
对本公司或者下级部门远程接入管理办法执行情况进行定期审核、检查。
7.远程接入点管理部门
指中国移动所部署的拨号、VPN等远程接入手段的维护部门,如:
负责维护BOSS、客服等系统的业务支撑部门;负责维护通信网、业务网和网管系统的网络部门;负责信息管理系统维护的管理信息系统部门;IT中心;实现了跨专业维护的综合维护部门或者集中接入点维护部门等等。
主要负责:
落实上级主管部门宏观要求,并配合上级主管部门组织实施的接入工作;
制定本部门的远程接入实施细则;
接收、审批相关远程接入需求申请;
组织制定、审核接入技术方案;按照《中国移动支撑系统安全域划分与边界整合技术要求》、《中国移动防火墙部署总体技术要求》和具体的接入相关系统安全防护方案要求、尤其是边界访问控制相关要求,明确对接入点的安全防护技术要求及管理要求;
向远程接入需求人员提供接入能力,如发放接入设备中的帐号权限、VPN客户端软件、设置接入配置数据,提供接入咨询;
远程接入人员权限到期或者接入任务完成后,应及时删除相应帐号或者修改帐号口令;
负责审核本部门所辖网络的远程接入情况并产生审核情况记录。
对每次接入进行实时监控,并定期审核远程操作记录,及时发现违规操作。
8.远程接入需求人员
指为实现业务、管理、维护等目的而提出接入需求的部门或人员,如中国移动各系统维护部门、业务部门、工程建设部门的相关人员,中国移动相关合作伙伴,如SP、CP、代维公司、银行、设备供应商的相关人员等等。
主要职责包括:
按照接入审批要求,提出书面申请;
按照远程接入管理部门提出的安全技术要求和管理要求,配置用于访问的终端,确保安全接入;
访问结束后,如远程接入点管理部门有明确要求,应及时说明并终止接入;
不得将相关帐号、口令告诉其它人,或者用于其它目的,否则应承担由此引起的一切后果。
二、远程接入管理流程
1.远程接入申请阶段
远程接入需求人员按照远程接入管理部门制定的远程接入申请表格式要求,填写申请表,申请方填写内容至少包括:
申请单位、申请单位联系人、申请单位负责人、拟接入的系统、申请目的描述(如访问哪些数据、进行什么维护等等)、申请开通时间、接入有效期,如果申请人为第三方,单位负责人需要签字盖章,并提交与中国移动签署的保密协议复印件或者协议序号;提交远程接入管理部门。
2.接入需求审批阶段
远程接入管理部门联合远程接入需求拟访问系统的维护人员,对接入申请进行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;对于需求目的不合理的申请,应予以拒绝,并对其说明理由;
对合理的远程接入申请,应分配并配置相应接入点设备及拟访问系统中的帐号,并通知需求人员;远程接入管理部门对接入情况进行备案,以备查询、审计。
3.远程接入阶段
需求人员按照接入管理规定具体要求,访问中国移动相关系统;远程接入管理部门及所访问系统维护人员应在需求人员接入过程中,监控其重点或者高危操作情况,及时发现违规操作。
4.远程接入终止阶段
访问完毕后,远程接入应按照远程接入点管理部门要求,及时声明并终止接入;如出现违反权限规定的操作,应及时终止该接入人员的连接,并对其提出警告或者处理要求。
5.特殊情况处理方法
为提高效率,对于中国移动员工、代维人员,可在严格管理的前提下,采用长期授权方式进行授权,并按照《中国移动帐号口令管理办法》,指定开设的帐号责任人;系统交维之前,可采用代维人员模式管理长期且固定的厂家维护人员的接入,交维之后,应按照按次审批的方式进行管理。
在出现重大故障等紧急情况时,可在向接入需求人员及其公司、内部系统维护人员简单核实人员身份和目的后,允许接入,但需要在事后及时补办手续。
三、审核管理
远程接入管理部门应定期组织审核远程接入设备以及接入双方设备的运行情况,及时发现违反远程接入技术要求和管理要求的问题,并提出整改要求、监督落实。
如发现存在严重违反相关要求的情况,应向网络安全职能管理部门和主管领导汇报。
网络安全职能管理部门应采用定期或者抽查方式,检查、审计、监督远程接入管理各项要求、远程接入访问策略的执行情况,对违反本管理办法的行为要及时指正,对严重违反或者导致重大安全事件者要立即上报。
第六节中国移动网络互联安全管理办法
一、组织及职责
“谁主管、谁负责,谁接入、谁负责”原则。
中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人,分别直接负责所辖网络的网络互联管理工作。
“基于需求”原则。
所有网络互联需求应符合中国移动业务发展、运维管理的实际需要,必须有明确的互联目的,互联所开放的访问权限应以满足而且不超出实际需求为标准。
“集中化”原则。
网络互联应尽量减少互联接口,通过设置集中的互联接口,为实现集中管理、集中防护奠定基础。
“可控”原则。
所有网络互联必须通过申请、审批、备案及审计,确保在安全可控的前提下实现网络互联。
二、网络互联管理流程
(一)网络互联需求提出阶段
互联需求部门按照网络互联管理部门制定的网络互联申请表格式要求,填写申请表,申请方填写内容至少包括:
申请单位、申请单位联系人、申请单位负责人、两侧互联系统描述(包括互联双方系统名称、IP地址或者地址段、申请方端口协议等相关信息)、申请目的描述(如访问哪些数据、进行什么维护等等)、申请开通时间、互联有效期、负责人签字盖章;
提交网络互联管理部门。
(二)互联需求审批阶段
网络互联管理部门对互联申请进行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;对于需求不合理的申请,应予以拒绝,并说明理由;
对合理的网络互联或者变更申请,应组织制定具体的互联方案,同时明确对互联双方相关系统的相应安全防护要求和管理要求;
组织网络互联管理、方案实施、互联双方系统维护等相关人员对互联方案、防护方案及管理要求进行审核;
对互联相关文档进行备案,以备检索、审计。
(三)方案实施阶段
网络互联实施部门在接到网络互联或者变更方案以及对网络互联相关内部系统的安全防护要求和管理要求后,组织制定具体的实施方案、实施过程应急预案。
;
互联需求部门同时按照网络互联管理部门制定的互联方案、安全防护技术要求和管理要求,组织制定本部门一侧的实施方案和管理流程、职责落实细则;
网络互联验收及投入运行阶段
实施完毕后,由网络需求管理、网络安全职能管理等相关部
升级会员 